本發明公開了一種新型聯邦學習后門防御方法，包括S1：服務器進行特征提取器初始化，并分發給全體用戶；S2：用戶獲得服務器分發的特征提取器后，用分發的特征提取器與本地的分類器MCL組合成為本地模型M，使用本地數據D進行訓練得到本地模型M，并將本地模型M中的特征提取器進行上傳；S3：服務器獲得步驟S2中用戶上傳的特征提取器，進行本地模型M的聚合，并將其分發至參與用戶；S4：重復執行上述步驟S2與步驟S3，直至用戶模型完全收斂，此時每個用戶的本地模型就是該用戶的最終模型。本本發明通過對模型的部分聚合，在惡意用戶比例大于50％時仍能有較好的效果。

技術領域

本發明屬于信息處理技術領域，具體涉及一種新型聯邦學習后門防御方法。

背景技術

在機器學習中，在測試集上獲得較高的準確率是一個模型的設計目標，但是后門攻擊不會對全局模型的準確率造成影響，但會誘使全局模型對后門樣本進行錯誤的分類。具體來說，攻擊者根據觸發器來創建毒樣本，并用毒樣本給用戶來訓練深度模型。訓練完成后的模型在普通的干凈樣本中會產生正確的結果，但是當攻擊者對樣本進行觸發器的嵌入后，樣本會被模型誤分類為攻擊者指定的標簽，而受害者并不會意識到模型已被破壞。在聯邦學習中，攻擊者可以通過添加攻擊者制定的觸發器(如加號等)并修改數據標簽來創建后門數據。這種含有后門信息的數據與干凈的數據一起參與本地模型的訓練，在訓練過程中，后門信息逐漸擴散到全局模型，最終導致全局模型中毒。

針對常見的幾種攻擊方式，目前的防御方式主要分為兩種，一種是依靠限制模型的更新，將模型更新限制在可控的范圍內，通過正規化或者處理異常數據來減輕惡意更新對模型的影響。這種方法的局限性在于它需要對模型進行歸一化和添加噪聲處理，這可能會對模型的主任務準確率造成影響。另一種防御技術是依靠檢測和排除惡意的本地模型的更新，如：FLTrust、flame和krum等。這類技術主要針對特定的后門攻擊，面對不同的后門攻擊需要調整參數。總之，聯邦學習的后門防御是一種較為復雜的研究，同時也是聯邦學習中一項重要的研究領域。

綜上，聯邦后門防御機制主要存在的問題在于：1、常見后門防御方案具有特定性，只針對特定的后門攻擊方案，面對其他后門攻擊方案存在防御效果不好的情況；2、大部分的后門防御方案未考慮訓練環境中惡意用戶比例大于50％的情況，針對此類情況的防御效果不足；3、某些防御方案如FLTrust需要額外的數據集，這不僅對服務器提出了更高的要求，更是與聯邦學習的隱私性存在一定的沖突。

發明內容

為解決現有技術存在的上述技術問題，本發明提供一種新型聯邦學習后門防御方法，主要通過部分層聚合來設計聯邦學習后門防御方案，可以在不上傳用戶數據的基礎上提升用戶的抗后門能力。

本發明采用的技術方案是：

一種新型聯邦學習后門防御方法，其特征在于,包括將完整的神經網絡模型分為兩部分：特征提取器和分類器；

假設神經網絡模型中的特征提取器為FE，分類器為CL，那么在預測過程中，可得如下提取結果：

y′＝FE(x_i)

y_i＝CL(y′)

其中，x_i是用戶i的本地數據，y′是模型的特征提取結果，y_i是模型的預測結果；具體包括如下步驟：

S1：服務器進行特征提取器初始化，并分發給全體用戶；

S2：用戶獲得服務器分發的特征提取器后，用分發的特征提取器與本地的分類器M_CL組合成為本地模型M，使用本地數據D進行訓練得到本地模型M，并將本地模型M中的特征提取器進行上傳；

S3：服務器獲得步驟S2中用戶上傳的特征提取器，進行本地模型M的聚合，并將其分發至參與用戶；